Разбиение диска + шифрование

Повторять не стану!

Примерно такое хочу сделать, есть ли какие-то проблемы?

Главная проблема — отвратительное оформление поста. Во-первых, https://www.linux.org.ru/help/markdown.md Во-вторых, lsblk.

На счет hdd понял, спасибо

ДОбавил в виде картинки

Что там видно (SSD), то в принципе нормально. А зачем два шифрованных раздела?

имеешь ввиду, зачем я отделил /home от / ?

Нет, именно нахрена два dm-crypt, особенно при наличии LVM. Делаешь один, там LVM, в нём все разделы по вкусу.

ну типо на одном разделе корень, на другом уже home и swap(в виде логических томов). Так-то да, можно было и на одном, но уже с тремя томами (home, корень и swap). Но так-то разницы нет, хрен пойми зачем сделал…

Прост читал, что часто делят корень и home именно на разные разделы

Делают, но вот так.

не совсем понял, просто ссылаешься на моё сообщение. Имеется ввиду что просто два раздела: / и home? А не как я сделал, что home в виде логического тома на разделе. Просто хотел чтобы swap тоже был шифрован, ну и ничего другого не придумал. Хотя если бы я не создавал его, он бы автоматом создался на ssd в виде файла?

нахрена два dm-crypt

Чтоб наверняка!
Как перед сексом 2 презерватива сразу надевать…=)

Блин, а теперь думаю, а зачем мне отдельный /boot. В ESP же уже есть образ ядра и загрузчик…

в чём различие от /boot/efi

Для начала. В /boot/efi обычно монтируется ESP (EFI System Partition) - специальный раздел, предназначенный для хранения программ загружаемых прошивкой UEFI, в частности - загрузчиков ОС. В частности grub устанавливает на ESP загрузчик первого этапа. Этот раздел не должен быть зашифрован, и должен содержать файловую систему FAT, иначе UEFI не сможет с ним работать. Однако, FAT не отличается большой надёжностью и не умеет в права доступа POSIX, что может представлять проблему. Да, на этом разделе можно держать ядра и образы initrd, но делать это совершенно необязательно.

Блин, а теперь думаю, а зачем мне отдельный /boot. В ESP же уже есть образ ядра и загрузчик…

В Debian? Нет, только если используется systemd-boot.

Я бы рекомендовал одно из двух. Если ты совершенно уверен, что шифрование всего корня решает какую-то проблему (99.9%, что не решает и у тебя нет понятной модели угроз):

nvme0n1
├─nvme0n1p1     /boot/efi
├─nvme0n1p2     /boot
└─nvme0n1p3
  └─dmcrypt   
    ├─lvm:root  /
    ├─lvm:swap  swap
    └─lvm:home  /home

В остальных случаях (поверь на слово: когда что-то сломаешь, чинить будет несколько проще):

nvme0n1
├─nvme0n1p1         /boot/efi
└─nvme0n1p2
  ├─lvm:root        /
  ├─lvm:swap
  │ └─dmcrypt:swap  swap  # random key
  └─lvm:home
    └─dmcrypt:home  /home

Схемы с доверенной загрузкой я намеренно не включаю, поскольку в Debian это требует дополнительных усилий и понимания, что ты делаешь и как это работает. Из коробки оно есть в Ubuntu, так что если нужна защита от атак по схеме evil maid (очень сомнительно), то лучше обратиться к Ubuntu или Windows.

Да, и во втором варианте можно не использовать LVM.

Спасибо, использую первый шаблон. Но есть вопрос: если я хочу чтобы загрузчик был отдельно(то есть на внешнем носителе), будет ли достаточно просто создать в нем раздел /boot/efi(ESP) на этапе установки? И ещё такой момент, в теории же можно зашифровать /boot при помощи luks1, чтобы GRUB2 вначале расшифровывал /boot а потом уже искал/брал от туда «всё ему необходимое». И вообще, целесообразны ли подобные действия?

Схемы с доверенной загрузкой я намеренно не включаю, поскольку в Debian это требует дополнительных усилий и понимания, что ты делаешь и как это работает.

А есть ли по итогу в нем смысл,основываюсь на прочитанном: О Secure Boot, LUKS и безопасности.